Re: Attacken auf ssh-Server

To: debian-user-german@lists.debian.org
Subject: Re: Attacken auf ssh-Server
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Sun, 23 Jun 2019 18:11:33 +0200
Message-id: <[🔎] E1hf55Z-0007xW-3n@drop.zugschlus.de>
In-reply-to: <[🔎] 20190623121617.71eb93d9@einstein.curt.lan>
References: <[🔎] 20190621094245.3615fe61@einstein.curt.lan> <[🔎] 3013531.1DKXM7ODWv@merkaba> <[🔎] 20190623121617.71eb93d9@einstein.curt.lan>

On Sun, 23 Jun 2019 12:16:17 +0200, Uwe Herrmuth <u.herrmuth@gmx.de>
wrote:
>Martin schrieb am 21.06.2019 um 11:53:
>
>> *Keine Passwörter*. Weder für root noch für irgendeinen anderen 
>> Benutzer.
>
>War eh so eingestellt. Offensichtlich loggt aber sshd Anmeldeversuche
>mit Passwort trotzdem mit und logcheck schickt dann zeitnah die
>Fehlversuche per Mail.
>
>Auf logcheck und die damit verbundenen Mails möchte ich auch nicht
>verzichten, um irgendwelche Ungereimtheiten frühzeitig erkennen zu
>können.

Dann konfigurier Dir halt das Rauschen weg.

>> - sshguard oder fail2ban
>
>IMHO greifen diese Tools bei dem hier vorliegenden Fall leider nicht.
>Nach intensiver Auswertung der Logfiles wurden 184 Einbruchsversuche
>unter 147 Usernamen registriert. Dabei wurden zwar "nur" 83 IP-Adressen
>verwendet, die Mehrfachverwendung von IP-Adressen liegt aber zeitlich
>soweit auseinander, dass sshguard oder fail2ban das nicht als
>ungewöhnlich registrieren.

Weil die Angreifer inzwischen mit solchen Mechanismen rechnen, ja.

>Die geografische Verteilung der IP-Adressen ähnelt der, die ich vor
>Jahren registriert hatte, als der Server noch auf Port 22 lief, wenn
>auch die Anzahl damals exorbitant höher war.
>Platz 1 China
>Platz 2 Rumänien
>Platz 3 Bulgarien 
>Platz 1 lässt sich damit erklären, dass bei der hohen
>Bevölkerungszahl prozentual gesehen auch die Zahl der böswilligen
>Hacker steigt. Platz 2 und 3 dürften gekaperte Rechner sein. Gut
>ausgebildete IT-Leute, die sich ausgerechnet dort niederlassen, halte
>ich eher für unwahrscheinlich. 

Guck Dir mal an, wieviele IT-Projekte (u.a. wegen der für Freelancer
nur schlecht geeigneten aktuellen Gesetzgebung) in den letzten Jahren
nicht mehr in Deutschland, sondern in Rumänien oder Bulgarien
ausgeführt werden. Die Leute, die da sitzen, sind ähnlich gut, haben
aber eine zielorientiertere Arbeitsweise und kosten nur die Hälfte.

Grüße
Marc
-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

References:
- Attacken auf ssh-Server
  - From: Uwe Herrmuth <u.herrmuth@gmx.de>
- Re: Attacken auf ssh-Server
  - From: Martin Steigerwald <martin@lichtvoll.de>
- Re: Attacken auf ssh-Server
  - From: Uwe Herrmuth <u.herrmuth@gmx.de>

Prev by Date: Re: Attacken auf ssh-Server
Next by Date: Re: Frage zu kvm / qemu und Textmodus
Previous by thread: Re: Attacken auf ssh-Server
Next by thread: Re: Attacken auf ssh-Server
Index(es):
- Date
- Thread